单个管理员如何将自己锁定在文件之外 24 小时?
我所说的“锁定”是指阻止访问。
我已经删除了原始帖子上的“规则”,因为很明显,这些策略取决于被锁定的内容。
答案1
我认为,如果可能的话,它必须涉及加密——没有任何东西会拒绝root(不是内存访问,不是任何级别的任何磁盘访问,也不是扰乱时钟的访问,使其看起来像是时间已经过去了,但实际上并没有) t)。
如果数据已经在磁盘上的文件中,那么管理员就可以访问它。
解决方案 1:最简单/最可靠的解决方案:加密文件,将密钥/密码放在互联网上的服务器上,直到给定时间才会发布。
解决方案2:内核模块可以隐藏文件;它还需要阻止对内存、磁盘的访问,并且还必须阻止管理员进行物理访问(以阻止他们重新启动到拇指驱动器)。
解决方案 3:按照字面意思理解:覆盖数据。管理员在接下来的 24 小时内(也在此之后的任何时间)将无法访问它。不移动或重命名它
答案2
- 衡量计算机的计算能力
- 计算所需的非对称加密密钥长度,以便计算机能够在大约 24 小时内暴力破解密钥
- 找到一种方法,在不知道私钥的情况下找到满足公钥属性的数字(或者更弱的是,生成密钥对然后丢弃私有部分)
- 使用公钥加密要隐藏的文件
- 开始暴力破解文件
您还可以在此处使用非对称加密,但这要求您在将自己锁定在门外时知道加密密钥。使用非对称加密,您可以提前准备好公钥。
答案3
使用 SELinux(例如 )限制他们的 root 帐户,semanage user ...并安装禁止指定 SELinux 用户访问文件的策略。然后通过 cron 取消他们的帐户限制。没有加密,很简单,他们将拥有自己的 root 帐户,但无法对文件执行任何操作。